Manajemen Akun
Menggunakan proses dan alat untuk menetapkan dan mengelola otorisasi kredensial untuk akun pengguna, termasuk akun administrator, serta akun layanan, pada aset dan perangkat lunak perusahaan.
Mengapa Kontrol Ini Penting?
Lebih mudah bagi pelaku ancaman eksternal atau internal untuk mendapatkan akses tidak sah ke aset atau data perusahaan melalui penggunaan kredensial pengguna yang valid daripada melalui 'peretasan' lingkungan. Terdapat banyak cara untuk secara diam-diam mendapatkan akses ke akun pengguna, termasuk: kata sandi yang lemah, akun yang masih valid setelah pengguna meninggalkan perusahaan, akun uji coba yang tidak aktif atau tertinggal, akun bersama yang belum diubah selama berbulan-bulan atau bertahun-tahun, akun layanan yang tertanam dalam aplikasi untuk skrip, pengguna yang memiliki kata sandi yang sama dengan yang digunakan untuk akun daring yang telah dibobol (dalam pelanggaran publik), rekayasa sosial terhadap pengguna untuk memberikan kata sandinya, atau menggunakan serangan brute force untuk menebak kata sandi. Akun administratif, atau yang memiliki hak istimewa tinggi, merupakan target utama, karena memungkinkan penyerang menambahkan akun, mengubah konfigurasi, membaca dan memodifikasi data tersimpan, meniru identitas pengguna biasa, dan melakukan pencurian data.
Templat Kebijakan Terkait
Pengamanan (6)
| ID | Judul | Fungsi | IG | Item Daftar Periksa | Bukti |
|---|---|---|---|---|---|
| 5.1 | Tetapkan dan Pelihara Inventaris Akun | Identifikasi |
IG1
IG2
IG3
|
2 | 1 |
| 5.2 | Gunakan Kata Sandi yang Unik | Lindungi |
IG1
IG2
IG3
|
4 | 2 |
| 5.3 | Nonaktifkan Akun yang Tidak Aktif | Respons |
IG1
IG2
IG3
|
2 | 1 |
| 5.4 | Batasi Hak Istimewa Administrator ke Akun Administrator Khusus | Lindungi |
IG1
IG2
IG3
|
4 | 2 |
| 5.5 | Tetapkan dan Pelihara Inventaris Akun Layanan | Identifikasi |
IG2
IG3
|
2 | 1 |
| 5.6 | Sentralisasi Manajemen Akun | Lindungi |
IG2
IG3
|
2 | 1 |
Detail Verifikasi Audit
Tetapkan dan pelihara inventaris semua akun yang dikelola dalam perusahaan. Inventaris harus mencakup akun pengguna dan administrator. Inventaris, minimal, harus berisi nama orang, nama pengguna, tanggal mulai/berhenti, dan departemen. Validasi bahwa semua akun aktif telah diotorisasi, dengan jadwal berulang minimal setiap kuartal, atau lebih sering.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Gunakan kata sandi yang unik untuk semua aset perusahaan. Implementasi praktik terbaik mencakup, minimal, kata sandi 8 karakter untuk akun yang menggunakan MFA dan kata sandi 14 karakter untuk akun yang tidak menggunakan MFA.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Status pendaftaran MFA dan konfigurasi penegakan | Ditinjau setiap bulan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Hapus atau nonaktifkan akun yang tidak aktif setelah periode 45 hari ketidakaktifan, jika didukung.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Batasi hak istimewa administrator ke akun administrator khusus pada aset perusahaan. Lakukan aktivitas komputasi umum, seperti penjelajahan internet, email, dan penggunaan suite produktivitas, dari akun utama pengguna yang tidak memiliki hak istimewa.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Konfigurasi keamanan email (catatan SPF, DKIM, DMARC) | Diverifikasi setiap kuartal |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Tetapkan dan pelihara inventaris akun layanan. Inventaris, minimal, harus berisi pemilik departemen, tanggal tinjauan, dan tujuan. Lakukan tinjauan akun layanan untuk memvalidasi bahwa semua akun aktif telah diotorisasi, dengan jadwal berulang minimal setiap kuartal, atau lebih sering.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Sentralisasi manajemen akun melalui layanan direktori atau identitas.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |